Linux|编译最新版的openssh-server-9.3的rpm包(一)

已于 2024-07-14 11:48:38 修改
阅读量3.9k 收藏 16
点赞数 12
分类专栏: Linux 文章标签: linux ssh 服务器 postgresql 开发语言
于 2023-06-15 00:14:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/alwaysbefine/article/details/131217650
版权

前言:

openssh服务的重要性不需要在这里废话了,而面对各种系统漏洞服务漏洞,我们最好的应对手段就是升级了,因此,我们的服务器很可能有升级内核的需求,以及升级系统内的重要服务的需求,而作为与服务器交互的服务sshd来说,漏洞也是非常多的,但该服务是基础服务,是不可能停止的,因此,我们需要升级它。

那么,如果只是单独的几个服务器,使用的是带有漏洞的低版本的sshd服务,手动的编译安装将该服务升级是可以实现的(通常,手工编译一个sshd服务也就最多半小时,包括测试环节),而如果有若干个服务器都需要升级,那么,显然手动编译升级的方式是不太现实的,太耗时费力了。

因此,在有大量的同一操作系统的服务器的情况下,显然编译一个适用于自身情况的sshd服务安装rpm包是比较合适的,可以节约大量的编译时间(一次编译,到处运行),并且可以结合脚本进行批量部署,从而提升运维的效率。

那么,本文将就如何在centos7下编译一个可用于centos7,升级sshd服务到最新版本的9.3做一个示例演示。

示例服务器的系统版本:

[root@k8s-node2 x86_64]# cat /etc/redhat-release 
CentOS Linux release 7.4.1708 (Core)

####注:编译出来的rpm包适用于所有centos7或者redhat7以及等同于centos7的欧拉操作系统 

一,

创建相关目录

这些目录主要是存放源码包和编译出来的rpm包

[root@k8s-node2 ~]# mkdir -p /root/rpmbuild/SOURCES
[root@k8s-node2 ~]# mkdir -p /root/rpmbuild/SPECS
[root@k8s-node2 ~]# cp openssh-9.3p1.tar.gz   /root/rpmbuild/SOURCES/

二,

制作rpm的准备工作

#安装必要的包,关键的包是rpm-build, 其它的是依赖
  yum install rpm-build zlib-devel openssl-devel gcc perl-devel pam-devel unzip libXt-devel imake gtk2-devel -y

#解压tar包
  cd /root/rpmbuild/SOURCES/
  wget https://mirrors.aliyun.com/pub/OpenBSD/OpenSSH/portable/openssh-9.3p1.tar.gz
  tar -zxf openssh-9.3p1.tar.gz 
#复制出官方提供的spec文件,rpm-build需要根据这个文件来制作rpm包
  cp openssh-9.3p1/contrib/redhat/openssh.spec .
#关掉no_gnome_askpass no_x11_askpass这两个参数
  sed -i -e "s/%define no_x11_askpass 0/%define no_x11_askpass 1/g" openssh.spec
  sed -i -e "s/%define no_gnome_askpass 0/%define no_gnome_askpass 1/g" openssh.spec

三,

开始rpm包的制作

主要命令是:

rpmbuild -ba openssh.spec

###由于编译工作可能会有非常多的错误,因此,本次编译工作使用试错法,也就是直接开始,有错就解决,直到编译工作完成。

####下面对编译中的错误做一个总结

错误1:

[root@k8s-node2 SOURCES]# rpmbuild -ba openssh.spec
error: File /root/rpmbuild/SOURCES/x11-ssh-askpass-1.2.4.1.tar.gz: No such file or directory

两个方案任选一个即可 

解决方案1:

请前往网址:

https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz/

下载tar包然后手动上传到/root/rpmbuild/SOURCES/就可以了

不用wget的原因是wget下载的tar包在rpmbuild执行时解压会报错,下载后tar -zxf无法执行,只能手动下载然后上传

解决方案2:

屏蔽掉askpass,但还是需要下载x11-ssh-askpass-1.2.4.1.tar.gz在当前目录

sed -i -e "s/%global no_x11_askpass 0/%global no_x11_askpass 1/g" openssh.spec
wget https://src.fedoraproject.org/repo/pkgs/openssh/x11-ssh-askpass-1.2.4.1.tar.gz

错误2:

openssl开发包版本过高

[root@k8s-node2 SOURCES]# rpmbuild -ba openssh.spec
error: Failed build dependencies:
	openssl-devel < 1.1 is needed by openssh-9.3p1-1.el7.centos.x86_64

经检查,确实openssl的开发包版本过高,但卸载该包将会引起一些不必要的麻烦(openssl是一个比较重要的内置软件) 

[root@k8s-node2 SOURCES]# rpm -qa |grep openssl
openssl-libs-1.0.2k-8.el7.x86_64
openssl-1.0.2k-8.el7.x86_64
xmlsec1-openssl-1.2.20-5.el7.x86_64
openssl-devel-1.0.2k-8.el7.x86_64

解决方案:

编译前忽略openssl开发包的检查,也就是注释检查行

sed -i '/openssl-devel < 1.1/s/^/#/' openssh.spec

编译是比较快的啊,啪的一下就好了,编译出来的rpm包在以下目录,以下rpm包拿到其它同操作系统的服务器就可以愉快的安装使用了:

[root@k8s-node2 SOURCES]# cd ../RPMS/x86_64/
[root@k8s-node2 x86_64]# ls
openssh-9.3p1-1.el7.centos.x86_64.rpm                openssh-clients-9.3p1-1.el7.centos.x86_64.rpm    openssh-server-9.3p1-1.el7.centos.x86_64.rpm
openssh-askpass-gnome-9.3p1-1.el7.centos.x86_64.rpm  openssh-debuginfo-9.3p1-1.el7.centos.x86_64.rpm

正常的编译输出,尾部如下:

。。。。。。。。前面的略略略。。。。。。。。。。。
bpango-1.0.so.0()(64bit) libpangocairo-1.0.so.0()(64bit) libpangoft2-1.0.so.0()(64bit) libpthread.so.0()(64bit) rtld(GNU_HASH)
Obsoletes: ssh-extras
Processing files: openssh-debuginfo-9.3p1-1.el7.centos.x86_64
Provides: openssh-debuginfo = 9.3p1-1.el7.centos openssh-debuginfo(x86-64) = 9.3p1-1.el7.centos
Requires(rpmlib): rpmlib(FileDigests) <= 4.6.0-1 rpmlib(PayloadFilesHavePrefix) <= 4.0-1 rpmlib(CompressedFileNames) <= 3.0.4-1
Checking for unpackaged file(s): /usr/lib/rpm/check-files /root/rpmbuild/BUILDROOT/openssh-9.3p1-1.el7.centos.x86_64
Wrote: /root/rpmbuild/SRPMS/openssh-9.3p1-1.el7.centos.src.rpm
Wrote: /root/rpmbuild/RPMS/x86_64/openssh-9.3p1-1.el7.centos.x86_64.rpm
Wrote: /root/rpmbuild/RPMS/x86_64/openssh-clients-9.3p1-1.el7.centos.x86_64.rpm
Wrote: /root/rpmbuild/RPMS/x86_64/openssh-server-9.3p1-1.el7.centos.x86_64.rpm
Wrote: /root/rpmbuild/RPMS/x86_64/openssh-askpass-gnome-9.3p1-1.el7.centos.x86_64.rpm
Wrote: /root/rpmbuild/RPMS/x86_64/openssh-debuginfo-9.3p1-1.el7.centos.x86_64.rpm
Executing(%clean): /bin/sh -e /var/tmp/rpm-tmp.JgTTnt
+ umask 022
+ cd /root/rpmbuild/BUILD
+ cd openssh-9.3p1
+ rm -rf /root/rpmbuild/BUILDROOT/openssh-9.3p1-1.el7.centos.x86_64
+ exit 0

通用的sshd配置文件,该配置文件直接复制后在shell里执行就可以覆盖生成配置文件了

cat >/etc/ssh/sshd_config<<EOF

#     $OpenBSD: sshd_config,v 1.103 2018/04/09 20:41:22 tj Exp $



# This is the sshd server system-wide configuration file.  See

# sshd_config(5) for more information.



# This sshd was compiled with PATH=/usr/bin:/bin:/usr/sbin:/sbin:/usr/local/openssh/bin



# The strategy used for options in the default sshd_config shipped with

# OpenSSH is to specify options with their default value where

# possible, but leave them commented.  Uncommented options override the

# default value.



#Port 22

Port 10022

#AddressFamily any

#ListenAddress 0.0.0.0

#ListenAddress ::



#HostKey /usr/local/openssh/etc/ssh_host_rsa_key

#HostKey /usr/local/openssh/etc/ssh_host_ecdsa_key

#HostKey /usr/local/openssh/etc/ssh_host_ed25519_key



# Ciphers and keying

#RekeyLimit default none



# Logging

#SyslogFacility AUTH

#LogLevel INFO



# Authentication:



#LoginGraceTime 2m

#PermitRootLogin yes

#StrictModes yes

#MaxAuthTries 6

#MaxSessions 10



#PubkeyAuthentication yes



# The default is to check both .ssh/authorized_keys and .ssh/authorized_keys2

# but this is overridden so installations will only check .ssh/authorized_keys

AuthorizedKeysFile .ssh/authorized_keys



#AuthorizedPrincipalsFile none



#AuthorizedKeysCommand none

#AuthorizedKeysCommandUser nobody



# For this to work you will also need host keys in /usr/local/openssh/etc/ssh_known_hosts

#HostbasedAuthentication no

# Change to yes if you don't trust ~/.ssh/known_hosts for

# HostbasedAuthentication

#IgnoreUserKnownHosts no

# Don't read the user's ~/.rhosts and ~/.shosts files

#IgnoreRhosts yes



# To disable tunneled clear text passwords, change to no here!

#PasswordAuthentication yes

#PermitEmptyPasswords no



# Change to no to disable s/key passwords

#ChallengeResponseAuthentication yes



# Kerberos options

#KerberosAuthentication no

#KerberosOrLocalPasswd yes

#KerberosTicketCleanup yes

#KerberosGetAFSToken no



# GSSAPI options

#GSSAPIAuthentication no

#GSSAPICleanupCredentials yes



# Set this to 'yes' to enable PAM authentication, account processing,

# and session processing. If this is enabled, PAM authentication will

# be allowed through the ChallengeResponseAuthentication and

# PasswordAuthentication.  Depending on your PAM configuration,

# PAM authentication via ChallengeResponseAuthentication may bypass

# the setting of "PermitRootLogin without-password".

# If you just want the PAM account and session checks to run without

# PAM authentication, then enable this but set PasswordAuthentication

# and ChallengeResponseAuthentication to 'no'.

#UsePAM no



#AllowAgentForwarding yes

#AllowTcpForwarding yes

#GatewayPorts no

#X11Forwarding no

#X11DisplayOffset 10

#X11UseLocalhost yes

#PermitTTY yes

#PrintMotd yes

#PrintLastLog yes

#TCPKeepAlive yes

#PermitUserEnvironment no

#Compression delayed

#ClientAliveInterval 0

#ClientAliveCountMax 3

#UseDNS no

#PidFile /var/run/sshd.pid

#MaxStartups 10:30:100

#PermitTunnel no

#ChrootDirectory none

#VersionAddendum none



# no default banner path

#Banner none



# override default of no subsystems

Subsystem   sftp   /usr/libexec/openssh/sftp-server



# Example of overriding settings on a per-user basis

#Match User anoncvs

#     X11Forwarding no

#     AllowTcpForwarding no

#     PermitTTY no

#     ForceCommand cvs server

PermitRootLogin yes

PubkeyAuthentication yes

EOF

晚风_END
关注
  • 12
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
编译OpenSSH
邢红瑞的blog
09-27 3266
 说实话,97年使用linux开始就没有编译openssh。使用debian时,也是apt 安装的。1 下载最新的zlib库http://zlib.net/ tar -zxvf zlib-1.2.3.tar.gz cd zlib-1.2.3 make make installcp zlib.h zconf.h /usr/local/includechmod 644 /usr/local/in
openssh-9.3p2 rpm安装
08-11
本文将详细介绍如何在CentOS系统上通过RPM升级到最新版本的OpenSSH 9.3p2。 首先,我们要了解OpenSSH是什么。OpenSSH是一个开源软件套件,用于实现安全的网络服务,SSH(Secure Shell)协议,用于加密网络...
CentOS修复OpenSSH漏洞升级到openssh 9.7 RPM更新
天天打码-16年老码农
07-02 898
在做政府和学校单位网站时,经常需要服务器扫描检测,经常被OpenSSH Server远程代码执行漏洞(CVE-2024-6387)安全风险通告,出了报告需要升级OpenSSH。使用是无法更新到最新的,因为系统里的管理器里的不是最新的。百度很多网上的方法都手动安装编译,流程很麻烦,而且最终不行。最后找到了一个可行的,一个更新修复OpenSSH漏洞升级到openssh 9.7 RPM
openssh 7.9p1 rpm
04-12
openssh 7.9p1 rpm "OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现,支持对所有的传输进行加密,可有效阻止窃听、连接劫持以及其他网络级的攻击。sshd是其中的一个独立守护进程。 OpenSSH 7.2p2及之前版本的sshd中的session.c文件中的‘do_setup_env’函数存在安全漏洞。当程序启用UseLogin功能并且PAM被配置成读取用户主目录中的.pam_environment文件时,本地攻击者可借助/bin/login程序的特制的环境变量利用该漏洞获取权限。 "
openssh9.8p1的rpm
tanglx(汤龙祥)的博客
07-03 1476
openssh9.8p1的rpm
使用rpm升级OpenSSH9.3版本
wzc4666的博客
02-02 1145
5.关于/etc/pam.d/sshd 、/etc/ssh/sshd_config的内容:我先在别的机器的成功过,但后面有的机器还原了备份也有问题,我对比成功机器和问题机器/etc/pam.d/sshd 、/etc/ssh/sshd_config的内容,发现差别挺大。后面我这两文件的内容全用成功机器里的(拷过来pam.d-noerror.bak 、ssh-noerror.bak或者直接复制粘贴)代替了,后面也通了。升级完后,我的几台机器ssh连不上了,查明原因:公匙改变了。所以补充了这两行参数。
CentOS 8 制作openssh9.0/9.2/9.3 rpm——筑梦之路
筑梦之路
05-09 2976
由于openssh在CentOS 8系列系统中yum源最新版本是8.0,而opensh漏洞比较多 openssh-server-8.0p1-10.el8.x86_64 openssh-clients-8.0p1-10.el8.x86_64 openssh-8.0p1-10.el8.x86_64 cat /etc/os-release NAME="CentOS Linux" VERSION="8" ID="centos" ID_LIKE="rhel fedora" VERSION_ID="8" PLA.
编译openssh
杰里客的博客
06-29 351
#!/bin/bash #This script is used to compile OpenSSL and Openssh #Compile Time: 2020-02-28 #Author: Gang Li #Email: LG_iang@163.com #Edition: V1 #缺少备份旧版环境openssl #缺少开启备用远程方式 #Define old OpenSSL version old_version=`openssl version` #Judge system publishe
openssh-9.3p1-el9.tgz
03-18
openssh 9.3p1 适用于centos9 redhat9操作系统安全加固、漏洞修复 x86架构 二进制rpm,可直接安装
openssh-9.3p1.tgz
03-16
openssh 版本9.3p1 适用于centos7 aarch64安装升级使用 二进制rpm,用于修复安全漏洞,升级更新openssh版本,安全加固 当前最新版openssh
openssh-9.3p1.zip
04-13
OpenSSH通常由一系列的RPM(Red Hat Package Manager)组成,这些RPM括了服务器端的sshd、客户端的ssh以及其他相关组件,如scp、sftp等。在"openssh-9.3p1"文件夹中,我们可以找到这些RPM文件,它们是升级或...
centos/redhat openssh7.5 rpm
09-30
openssh7.5版本rpm,主要括:opensshopenssh-clients、openssh-debuginfo、openssh-server,下载前请仔细确认版本以及rpm是否满足需求
openssh7.7p centos6.x 64位 rpm
04-27
好的2018年4月最新版openssh7.7p,centos6.x可直接替换自带的openssh5.6,再次yum安装不会被替代。无需升级openssl
openssh7.8p1RPM
09-28
自制的openssh7.8p1的RPM,基于CentOS7制作,用于openssh升级,亲测可正常安装使用。
openssh-8.0p1-1.el7.x86_64.rpm含所有的rpm
08-14
centos7&Redhat7;可以用的,升级opensshopenssh-8.0p1版本的所有RPM。精心制作的RPM,直接yum install 同时4个rpm,即可升级完毕。 openssh-8.0p1-1.el7.x86_64.rpm systemctl start sshd cd /etc/ssh/ chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key echo "PermitRootLogin yes" >> /etc/ssh/sshd_config
CentOS 7 openssh8.1p1 rpm
12-24
使用前记得备份 cp -p /etc/pam.d/sshd /etc/pam.d/sshd.old cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config.old rpm -Uvh ./*.rpm 升级完记得恢复配置与删除原来openssh生成的key rm -rf /etc/ssh/ssh_host_*key cat /etc/pam.d/sshd.old > /etc/pam.d/sshd cat /etc/ssh/sshd_config.old > /etc/ssh/sshd_config 最后重启 systemctl restart sshd
OpenSSH 9.3 CentOS7 RPM安装
05-02
基于centos7编译openssh9.3的安装,使用x11-ssh-askpass让openssh不在依赖openssl1.1.1。 更新前:注意备份好/etc/ssh和/etc/pam.d/ ,一般建议开启telnet增加一条备用登陆通道 更新操作:rpm -Uvh openssh-*....
编译CentOS6.10系统的OpenSSH 9.3rpm安装
forestqq的博客
03-30 1988
目前OpenSSH版本已至9.3,其作为操作系统底层管理平台软件,需要保持更新以免遭受安全攻击,编译生成rpm是生产环境中批量升级的最佳途径。
linux下源码编译制作openssh-9.8p1-rpm,以修复CVE-2024-6387漏洞
最新发布
林寒涧溯的博客
07-09 1833
OpenSSH 官方发布安全更新,修复了其 OpenSSH 存在的远程代码执行漏洞,漏洞编号CVE-2024-6387。可导致未经身份验证的远程攻击者执行任意代码等危害,许多linux系统没有发布9.8p1版本的openssh,因此通过源码编译
centos如何源码安装编译及下载openssh-server
06-11
在CentOS中,你可以通过以下步骤源码安装和编译OpenSSH: 1. 安装必要的依赖项: ``` sudo yum install gcc make openssl-devel pam-devel ``` 这里安装了gcc、make、openssl-devel和pam-devel这些依赖项,它们是编译OpenSSH所必需的。 2. 下载OpenSSH源代码: ``` wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-X.XpX.tar.gz ``` 这里的X.XpX应该替换为你想要下载的OpenSSH版本号。 3. 解压缩OpenSSH源代码: ``` tar zxvf openssh-X.XpX.tar.gz ``` 这里的X.XpX应该替换为你下载的OpenSSH版本号。 4. 进入OpenSSH源代码目录: ``` cd openssh-X.XpX ``` 5. 配置和编译OpenSSH: ``` ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-zlib --with-md5-passwords make sudo make install ``` 这里的--prefix=/usr选项指定OpenSSH安装到/usr目录下,--sysconfdir=/etc/ssh选项指定OpenSSH的配置文件存放在/etc/ssh目录下,--with-pam、--with-zlib、--with-md5-passwords选项指定编译时需要的库和算法。 6. 启动OpenSSH服务: ``` sudo systemctl start sshd ``` 这里的sshd是OpenSSH服务器程序,你需要启动它才能提供SSH服务。 经过上述步骤,你就可以成功地源码安装和编译OpenSSH了。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

晚风_END

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值